Firefox web browser - Faster, more secure & customizable |
Firefoxの最大の魅力のひとつにアドオン/エクステンションの豊富さがある。開発者が制作したアドオンはレビュープロセスを経てから公開される。これはバグであったり好ましくない動作をするコードを含んだアドオンが公式サイトから配信されるのを防ぐためのものだが、先日、このチェックをくぐり抜けてトロイの木馬を含んだアドオンが発見された。
実のところ、Firefoxアドオンは申請してから数日でアップされるものもあれば、1ヶ月かかるものもある。アドオン開発者にしてみれば、申請してから1ヶ月も音沙汰がなければ何が行われているのか疑問を覚えざるをえない。こうした疑問に答え、より透明性を高める目的もあってかThe Add-on Review Process and You « Mozilla Add-ons Blogにおいてアドオンレビュープロセスの説明と将来の取り組みが発表された。どういった状況にあるのかがまとまっている。
アドオンのアップロードからAdd-ons for Firefoxでの公開までの大まかな流れはこうなっている。まずアップロードの段階でセキュリティソフトウェアによるマルウェアチェックが実施される。アドオンはExperimentのラベルをつけてサンドボックスにアップロードされ、少数のメンバーだけがアクセスできる状況になる。ここからレビューが実施され、通過したアドオンが一般に公開されることになる。今回マルウェアが問題となったのは、ここのセキュリティチェックをくぐり抜けたことが原因になっている。事件後、複数のセキュリティツールを利用するように改善が実施されている。
レビュー部分の手順は次のようになっているという。新規アドオンとアップデートでは細かい手順が異なるが、大枠での処理は同じ。
- Add-on Developer Hubでアドオンリストを作成
- コードバリデーションツールによるチェック。クオリティに問題がある場合は警告が入る
- 提出プロセスへ進む
- レビューキューへ追加
- レビューの結果(承諾、拒否、追加情報提供求む)にしたがって処理を実施
レビュープロセスの時間の大半は人間によるレビュー段階で費やされる。提出されたアドオンはレビューキューに追加され、古いものほど高いプライオリティが割り振られ、できるだけ古いアドオンから順にレビュー作業が実施される。レビューを実施するのはAMO Editorチーム。大半がボランティアで、あとは数名のMozilla従業員と契約作業員。処理が困難なアドオンについては手慣れた担当者や管理者担当で処理されるという。チームメンバーは75名前後で、アクティブに動いているのは十数名ほどと説明がある。
ここでの問題は必ずしも古い方から処理されるのではない、という点にあるという。アドオンは多種多様であるため、一様に作業できない。レビューしやすいものもあれば、しにくいものもある。レビュープロセスの透明性をあげるために、このレビューキューの状況を完全に一般公開すべきだという要望があるというが、The Add-on Review Process and Youではその意見は優れたものではないと説明がある。レビューを公開すれば処理順序に関する不平は今よりも増えることになり、本来のレビュープロセスが阻害される恐れがあるというものだ。現在のところ、次の方法を実施して透明性の向上を検討しているという。
- レビューキューに関する情報をより多く公開
- 管理者レビューになった場合には制作者に通知する。より多くの時間がかかることをあらかじめ知らせる狙いがある
- アドオンステータスページにレビューキューのどのあこに位置しているのかの情報を提示する
当面の目標は新規アドオンでレビュー実施を2週間以内に、アップデートで1週間以内とされている。2009年9月の段階では新規に4週間以上かかっていたが、現在は新規が3週間以内、アップデートは数日以内まで短縮しており、目標へ向けて改善が進んでいることも紹介されている。
